分析人士警告说,机构如果考虑使用异步Javascript和XML(AJAX)技术创建更多的动态网页,就需要确保这些网页不会在无意间将自己的网络大门向其他应用敞开,而如果不使用AJAX,这些应用可能是安全的。分析人士表示,虽然AJAX自己不会产生新的安全危险,但它却极有可能扩大目前已经充分了解的几个安全威胁的严重性,这些威胁包括SQL资料隐码(SQL injections)、跨站脚本(cross-site scripting)和服务拒绝攻击等。
目前就出现了一个与此相关的案例:本周的Yamanner邮件群发蠕虫。在此案例中,Yamanner蠕虫利用Yahoo公司电子邮件服务上的一个明显的跨站脚本错误,感染了数以千计的用户。蠕虫伴随一个标题为“新图形站点(New Graphic Site)”的邮件进入用户的Yahoo邮箱,当用户打开受感染的电子邮件时,这个蠕虫就被激活。
与使用HTML方式编写的网页相比,企业采用AJAX编程技术,可随时向网页增添一些新内容,而无需重新加载整个页面,这样就大大提高了企业网站对客户输入所作出的响应。这些使用Javascript和XML技术的网站,允许浏览器从网页服务器上读取少量的数据。